Uma nova variante do ransomware Tycoon, que tem como alvo computadores com Windows e Linux está atacando empresas das áreas de educação e de software, de acordo com um relatório conjunto divulgado esta semana pela BlackBerry e a consultoria KPMG. Segundo o documento, devido ao seu desenvolvimento exclusivo, o malware tem capacidade de permanecer oculto por longos períodos, mesmo em sistemas com ferramentas de segurança.
O “segredo” para as habilidades furtivas da Tycoon é que o ransomware é escrito em Java e instalado em PCs atacados sob a usando uma versão “trojanizada” do Java Runtime Environment (JRE), o que dificulta sua detecção por antivírus. Além disso, o malware é compilado em um formato de arquivo de imagem Java, chamado Jimage, que também ajuda a evitar a detecção de ferramentas de segurança, de acordo com o relatório.
O uso do JRE trojanizado significa que o Tycoon não pode ser implantado em e-mails de phishing em massa, que visam atacar o maior número possível de vítimas. Em vez disso, seus operadores escolhem deliberadamente um alvo e usam outros meios para iniciar o ataque, diz o relatório.
Veja isso
Descoberto ransomware avançado baseado em linguagem Java
Empresa de mísseis nucleares dos EUA sofre ataque de ransomware
Por ter sido desenvolvido em Java, o ransomware também pode atingir outros sistemas que não o Windows.
Como o Tycoon não foi desenvolvido para ser distribuído por e-mail de phishing ou spam, os analistas da BlackBerry acreditam que seus operadores exploram vulnerabilidades em protocolos de área de trabalho remota como parte do ataque inicial.
Outras gangues de ransomware também estão procurando esses tipos de vulnerabilidades para serem exploradas, e o recente aumento de pessoas trabalhando em casa fez com que os pesquisadores de segurança da companhia emitissem um comunicado alertando as organizações para bloquear e proteger as conexões RDP (Remote Desktop Protocol).
Segundo a BlackBerry, após conduzir investigações forenses de sistemas infectados de uma organização, ficou patente que a intrusão inicial ocorreu por meio de um servidor RDP na internet. Depois que os sistemas foram identificados e o acesso obtido, o agente da ameaça teve todos os meios para baixar e implantar o Java Runtime Environment compilado com o ransomware incorporado.
Após a execução do Tycoon no Windows ou no Linux, o ransomware começa a criptografar os arquivos, que ganham extensões como .grinch, .redrum e .thanos. Para liberá-los, os hackers exigem pagamento de resgate em bitcoin, com o valor dependendo da rapidez da resposta da vítima.